其实说是没时间 也不可能没有 时间就想海绵里的水 总会挤出来的
与其说没时间 到不如说是随着年龄的增长 大部分人都越来越不愿意把琐碎的事情写出来 都想写点有意义的东西(包括有价值的技术类问题)
但事实上 能有多少有意义的事情 有技术性的问题 呢?
说多也多 说少也少…
随缘吧,执着于任何事情都不会快乐,anyting
都没时间过来 怎么办呢
2011/09/22命令的区别
2011/03/26前段时间经常配置cisco设备,习惯了老敲show和wr ;
现在再配置linux也老敲wr,很无语。
就像以前用多了linux再敲cisco设备老敲ls一样。
还好windows大部分操作都不需要用命令行配置,需要配置的也都比较简单,不然这个就太乱了。。。
诺基亚和微软:一名曾经用户眼中的“下坡组合
2011/02/14以智能手机操作系统的门派来划分,各家的市场份额肯定是有升有降,但在这样大好的市场形势下,销量应该都能有不同幅度的增长。2010年激增888.8%,晋升为全球第二大操作系统的Android(安卓)当然是个例,但即便是市场份额掉了9个点的诺基亚Symbian(塞班),销量增幅也近四成。
2010年全球智能手机操作系统终端销量
但是,在有名有姓、没有被列入“其他”的前五名中,偏偏有一家量份其跌——销量减少近两成,市场份额下降一半,排名从第四滑至第五。不用费脑子,这只能是刚刚推出WP7的微软。
如果说,在Symbian刚开始得势的时候,Windows Phone的前身还只是“Microsoft”,那现在简直可以更名为“Macrosoft”了……
作为智能手机市场上传统的“贵族”和市场份额上依然的老大,诺基亚不肯向坐火箭蹿升到第二名的“暴发户”Android屈服,与MOTO、HTC“之流”为伍,是可以理解的。既然Symbian颓势难挽,Meego迟迟举棋不定,RIM没放在眼里,又不可能与Apple合作……“同是天涯沦落人”的微软也就成了唯一的伙伴。
CNET科技资讯网的美女专家孙封蕾说得好:“和诺基亚攀亲,显然够面子,而且微软‘软’,诺基亚‘硬’,微软和诺基亚在一起又‘软’又‘硬’。”非要较真的话,诺基亚之前是“软硬兼备”,现在需要微微地给点儿“软”……毕竟,微软在智能手机市场上的加速下滑,之前一两年近乎不作为的状态是症结之一,WP7如果找到给力的硬件平台,弥补Symbian越来越大的窟窿,也未可知啊。
关于微软与诺基亚“联姻”的前因后果,已经有太多人从各个角度做了分析,笔者就不在这里冒充专家了。只是,作为一个依次是微软、Symbian、Android、iOS智能系统的普通用户,在这里小小地发一发感慨,回顾一下微软和诺基亚是如何将自己的用户推向别人怀抱的吧……
WM = 不靠谱
第一次使用智能手持设备是2001年,康柏的iPAQ H3650,操作系统是微软的Pocket PC 2000(PPC2000)。当时笔者拿到iPAQ那叫一个鸡冻——简直就是小电脑啊,虽然用笔点来划去的不够方便,也不能当电话用,但在那个苹果公司还在苦苦挣扎,看到“i”开头断然不会联想Apple的年代……已然可以算作神器了。
时隔三年多之后终于“圆梦”——2005年初在公司的“春晚”上,抽中了一台采用PPC2003(Windows Mobile 2003 for Pocket PC Phone Edition)操作系统的熊猫E88,算是进入了智能手机时代。不过一开始有些操之过急,没有贴膜就开始用,等贴上膜的时候屏幕中部已有轻微划伤,机身上的备用电池也因没有及时更换主电池而丧失大半效力,之后更换电池都要及时迅速,否则时间等很多参数都保留不住。
微软系统手机的一大好处是与Windows及Office的紧密集成,特别是与Outlook的联系人同步功能。记得2002年笔者换到3618时,在两台手机间转移联系人资料煞是费时。为此,笔者还特意将邮件客户端从Outlook Express更换为Outlook,并拒绝了Foxmail等其他更好用的客户端。
Pocket Word等办公功能也很吸引笔者,在路上有些文章的构思,就拿起笔来写到里面,虽然手写十几个字之后就会觉得麻烦,但好歹聊胜于无,而且接上电脑可以同步。
然而PPC的稳定性太差了,这台E88经常在待机一会儿之后无法唤醒,只好Reset,如果之前在Pocket Word里写了点儿什么,或者添加了个联系人啥的,内容就全丢了。为防止这种杯具发生,就要及时备份到闪存上。你可以说硬件的品质不好,导致经常死机,但PPC起码可以有更好的数据保护机制吧?不然用户怎么能放心地使用呢?
于是,半年之后,当笔者跳入齐腰深的海水里推船导致兜里揣着的E88一起“湿身”之后,放弃了抢救它的努力,从抽屉里拿出打入冷宫的3618。不过,对于微软笔者还未绝望,又过了几个月,拿硬盘从朋友那里换了台Moto的MPx220。
MPx220基于Windows Mobile 2003 for Smartphone Second Edition(SE),屏幕小,非触摸屏,几个数字和符号键操作,随手记个备忘什么的是不现实了,但是与Windows同步Outlook联系人,用个Messenger,装几个小软件什么的,还是相当凑合的——注意,此时笔者对Windows Mobile系统的功能性已经没有太高奢望了,稳定压倒一切。
MPx220很少死机,待机也可以达到几天,更像一部电话了。但是随着时间的推移,发送短信过程中会死机,只好掀开后盖拔电池。短信太多了?删掉已发送短信,不行;删掉接收到的所有短信,还不行……只好,与电脑同步联系人之后,将手机格式化,复原到出厂状态,再将联系人同步回来,重新设置桌面、铃声等等。
此后,每半年左右就要来这么一回,很准,当然,也很烦。没错,这手机到笔者手里时已经用过一段时间了,但是这个问题未免也太严重,笔者刷到最新的固件也无法避免“宿命”。于是,在坚持了三年之后(想到这里,都佩服自己的耐性了),笔者再也不想格式化了……
Symbian = 死板
2009年夏,听从朋友的建议,买了部已成街机的诺基亚E71。全键盘,打字快;有WiFi,上个MSN、QQ都很方便;电池给力,系统节能,能待机5天左右;GPS还算好使,用作导航很实用,开个600公里不需要充电……而且,也能与Outlook同步联系人,这可是压倒笔者 “不买街机”心理防线的最后一根稻草。
不过,笔者很快就感受到了诺基亚的傲慢。安装个程序,还要申请什么证书、签名,并不是多么难于获得,但用起来很麻烦。诺基亚的初衷是好的,可是没有设身处地的考虑用户使用的便利性。后来倒是有了OVI,笔者的热情也已经下来了……
还有就是一种有了毛病“没人管”的感觉。笔者的E71有个不大不小的毛病,就是差不多每个月,都会有一次接听电话的时候死机,然后自动重启。虽说咱不是啥一个电话可能带来上百万生意的大老板,这种可重现的bug还是应该修正。E71可以通过WiFi更新固件,但是半年多时间笔者就没等到过新的固件。请教用过E71的达人,说E71的固件分100、200、300等系列,100系列功能简单,而笔者的是300系列,加入功能较多,重启并非个案,但是固件更新是分系列的,300系列暂时还没有更新,要不你降到100系列?我了个去!一款手机还有N多固件版本并存,Symbian真是心眼缺到家了。
塞翁失马换Android
2010年大年初二,笔者的E71在天津被偷了。
当时对E71还是很有感情的,毕竟瑕不掩瑜么。痛苦了一阵子,还好损失不大,联系人基本上都在Outlook里有备份。就像决定抛弃MPx220之前考察了Windows Mobile 6.1手机一样,当时脑海中的第一反应是去买部E72……
脑子冷静了两天,想想资深娱记@老凉 同学入手的二手G1不错,要不,尝试下Android?
3月初,曾经想过不再买Moto的笔者,入手了一台Milestone。
没必要给Moto做广告,Android的优缺点大家也知道个差不多。笔者只说自己的感受:
硬件配置是不具可比性,但至少不像Symbian那样吝啬于采用最新的处理器技术,更多在相机功能上做文章——咱首先是智能手机,其次才是具有相机功能;
关键在于,Android能够很好地驾驭硬件,而且操作系统不断升级。Milestone入手时装的2.0.1非原版,很快官方出了2.1,稳定性不输Symbian,易用性则远胜之。2.2没官方的?开发者们帮忙搞,不断锦上添花;
安装程序方便,上电子市场、安卓市场,用手机助手、豌豆夹,条条大路通罗马,而不会考验一个正常人的思维逻辑;
触摸屏操作简便,用起来得心应手,非常人性化;
不但可以与Outlook同步,还可以与Gmail账户同步,联系人等资料保护更方便……
当然,屏幕、处理器、内存等更高的硬件配置使待机时间大大缩短,是一大缺点。那就勤充着点儿电呗,我们又不常在野外生存,有什么不可忍受的呢?
所以,很快笔者就觉得,E71意外丢失也不全是坏事——否则,不知何时才能领略到Android之美呢……
您说说,Symbian做到这个份儿上,失败不?
iOS与Android并举,不鸟Symbian与WP7
笔者不是“果粉”,但是Milestone得心应手之际,又买了台iPad。因此,虽没用过iPhone,却也对iOS有了切身的体验。
随着岁月的流逝,笔者的DIY水平和热情在不断退化,但是,解决Android和iOS在使用中的问题,比前些年面对Windows Mobile和Symbian时感觉要容易许多。当然,WP7有进步,Symbian也更容易触摸了,但还是有很多问题无法解决。
就拿最基本的操作系统来说吧:iOS用户之幸福就不用说了,只要硬件不是太落后,持续的升级让你觉得没有什么bug是解决不了的,需要越狱也有人帮忙;Android的版本是个问题,但与一款E71都有多个版本固件的Symbian比起来实在是个小case,微软就更不用说了——连一个稳定的规划都没有……
总的感觉,Symbian是靠惯性在走。男性用户可能比较容易见异思迁,见识过Android和iPhone之后,很难再回头——除非Nokia白给。前面提到的诺基亚达人,还有曾经是E71用户的笔者,现在都在劝别人不要再买Symbian。当然这个劝解对相当多的女同胞是无效的,一部分是因为惯性,不愿意改变使用习惯,反正智能手机的很多功能她们用不到;另一部分是喜欢诺基亚的拍照功能,譬如一位爱自拍的美女同事就换了像素1200万的N8。
很大程度上,这些仍然坚守Symbian的女性用户,对手机的智能程度要求不高,用到的功能也相对有限,所以易用性等方面的感受不是很强烈。Symbian的操作界面更接近传统的非智能手机,如果只用电话、短信、听歌等现代手机都有的最常用功能,还是胜任愉快。但是,如果Symbian继续不思进取,这些女性用户可能不会倒向Android,但很可能转用iPhone。
至于微软,笔者不止一次对同事说过,微软Messenger的开发团队有一个奇特的本领,就是每出一个新版本,就会把前一个版本中用户觉得很好用的功能给去掉,使用逻辑越来越拧巴,不知道他们是否真正了解用户的使用习惯?而Windows Mobile(现在是Windows Phone)的开发团队也好不到哪里去,完全搞不懂他们在干什么。Messenger好歹有对用户的绑定效应(朋友、同事等联系人都在用),Windows Phone靠什么?Outlook吗?
在去年12月的TechEd上,看着微软的中国区高层兴高采烈地展示着Windows Phone 7的时候,笔者在台下暗自发笑——这些所谓新功能,都是Android和iOS早已实现了的,而人家早已解决了的弊端,WP7刚刚加上。不知道他们是真的不知道WP7落后了,还是强作欢颜?倘是前者,岂不悲哀?
诺基亚在手机硬件开发上的经验可以帮助微软,WP7有了手机大厂的硬件平台,或许可以从此“硬”起来;对于诺基亚而言,微软从Windows Mobile起,在触控体验上的积累比Symbian更多,或许可以帮助它争取一部分偏好触控操作的用户,稳住阵脚,为Symbian赢得时间。
但是,他们有没有反思过,Symbian市占率为什么一路下滑?WP7为什么不能赢得更多厂商的支持?归根结底还是不了解用户真正的需求,提供给用户超出预期的产品,才导致他们智能手机操作系统市场上的后来者(Android与iOS)超过。
所以说,微软与诺基亚的问题,不是联盟可以解决的。不改变自以为是的思维逻辑,不能正视自己一败再败的原因,两个走下坡路的人只是把手拉在一起,而不把身体也转回来,就可以重新走回上坡路了吗?
登陆Google Picasa3相册提示“没有为网络相册启用此账户”的解决方法
2010/08/19picasa客户端登陆相册时,总是提示“没有为网络相册启用该帐户”。实际是picasaweb.google.com被墙了,网上有改host,用代理的方法来解决。不过有更方便的法子就是用网友们提供的更改过picasa3.exe文件替换原来的文件即可,原理就是:墙只封了http://picasaweb.google.com,但是还有http://picasaweb.google.ca或者http://picasaweb.google.jp。只要把程序里面的域名改成指向http://picasaweb.google.ca或者http://picasaweb.google.jp就行了。
附下载地址:http://cid-51a1434369aaea9a.office.live.com/self.aspx/.Public/Picasa3.rar
转自随风随缘博客,亲测可用。
关于BGP
2010/08/12这段时间需要用到BGP,好久没看了,总结了一下。总结的比较乱,是个大概思路吧,不过大概的BGP选路和机制就是这样的。
黑洞的产生:路由不同步。
解决黑洞的方法:
1:重分布;(不推荐,路由条目太多)
2:物理直连直连边缘路由器。
3:所有的路由器都运行IBGP;(混乱,骨干网部分可运行BGP)
骨干部分 FULLMESH:(2)
水平分割:
防止BGP环路
从IBGP学到的路由条目,不会再发送到其他IBGP。
解决水平分割的方式:FULLMESH
解决FULLMESH的方式:
1:反射器
2:联邦(分成很多小的,小的可再加反射器)
防止黑洞的概念:
1:同步:
在同一个AS中从一个IBGP学到的路由,要想使用,必须要在IGP中也学到。
作用:抑制黑洞
默认是关掉的;
(如果同步是开启的,路由都学不到。)
如果同步开启,并且想要学到,只有
把EBGP重分布到IBGP
2:把同步关掉,骨干区域FULLMESH。
路由反射器。
验证路由反射器通告路由的三条规则
RFC 1966定义了三个规则,根据学习到路由的途径,RR通过这三条规则来决定将路由公布给谁:
(1)如果路由是从非客户的IBGP对等学习到的,只将它反射给客户。
(2)如果路由是从客户处学习到的,将它反射给除了发起该路由的客户外的所有非客户以及客户。
(3)如果路由是从EBGP对等处学习到的,将它反射给所有的客户和非客户.
水平分割:
FULLMESH
路由黑洞
同步 —- 重分布
同步要关掉。
FULLMESH
BGP为路径矢量协议,防环机制为AS号+BGP水平分割;
同步是为了避免路由黑洞的产生,默认是关闭的;
要想不开启同步,必须在AS内穿越路由器上配置IBGP并FULLMESH;
IBGP之间要想不做FULLMESH,必须使用联盟或路由反射器。
IPsec配置超级指南(大纲,说明,实例,实验)
2010/07/25IPsec配置超级指南(大纲,说明,实例,实验)
IPsec-VPN–virtual private network
什么是VPN–虚拟专用网
VPN作用–通过公网实现远程连接,将私有网络联系起来
VPN的类型:
1、overlay的VPN,例如IPsec-VPN
2、peer-to-peer的VPN,例如MPLS-VPN
还可以分为二层VPN和三层VPN
IPsec-VPN是三层的VPN
IPsec-VPN的分类:
1、site-to-site VPN 也叫 LAN-to-LAN VPN (要求两个站点都要有固定的IP)
2、EASY-VPN 也叫 remote VPN (通常用于连接没有固定IP的站点)
IPsec-VPN提供三个特性:
1、authentication 每一个IP包的认证
2、data integrity 验证数据完整性,保证在传输过程中没有被人为改动
3、confidentiality (私密性)数据包的加密
《知识准备》
在学习IPsec技术之前,先要学习以下几点知识
1、加密机制
2、DH密钥交换算法
3、认证机制
4、散列机制
加密机制–密码学分为两类:
对称加密算法—使用一把密匙来对信息提供安全的保护。只有一个密匙,即用来加密,也用来解密
特点:
1、速度快
2、密文紧凑
3、用于大量数据的传送
对称加密代表:DES、3DES、AES
3DES–有三个密匙,用第一个密匙加密,用第二个密匙解密,再用第三个密匙加密
非对称加密—有一对密匙,一个叫公匙,一个叫私匙,如果用其中一个加密,必须用另一个解密。
特点:
1、速度慢
2、密文不紧凑
3、通常只用于数字签名,或加密一些小文件。
非对称加密的代表:RSA、ECC
非对称加密代表RSA–有一对密匙,一个公匙,一个私匙,私匙加密,公匙解密,或者公匙加密,私匙解密
非对称加密可以有两种应用:
1、公钥加密,私钥解密,叫加密
2、私钥加密,公钥解密,叫数字签名
理想的应用方法,用非对称加密法来传送对称加密的密匙,或用在数字签名当中。用对称加密法来加密实际的数据。
数字签名不但证明了消息的内容,还证明了发送方的身份。
密钥化的HASH–使用密钥对生成的消息摘要进行加密时,被称为加密的消息摘要。
diffie-hellman key exchange–DH算法
是一种安全的让通信双方协商出一个共享密匙的方法。
用对方的公匙和自已的私匙产生一个双方都能知道的KEY(也叫共享的密秘),作对称加密用
DH group 1的长度是768位 (产生出的KEY的长度)
DH group 2的长度是1024位
认证机制–(这里所指的是设备的认证,而不是用户的认证)
现代的基本加密技术要依赖于消息之目标接收者已知的一项秘密,关键的问题是如何保障密钥的安全。
1、用户名和密码
2、OTP(one time password)一次性密码
3、生物认证(指纹、眼膜)
4、预共享密钥
5、数字证书
6、加密临时值
散列机制–用来做完整性检验
散列函数(就是HASH)–把一大堆数据经过计算得到一个较小的、定长的值,散列是一种不可逆函数。这意味着一旦明文生成散列,就不可能或者说极端困难再将其由散列转换成明文。
HASH的特点:
1、不管输入什么数据,输出是定长的
2、只要输入有一点微小变化,输出就会发生很大的变化,也就是雪崩效应
3、不可逆
HASH的算法:
1、md5 提供128位的输出 md5是验证,不是加密技术,用来做哈希
2、SHA 提供160位的输出
HMAC–使用散列的消息认证编码,或者叫密钥化的HASH,是一种使用HASH来进行认证的机制。可以用来做预共享密钥的认证。
—————————————————————————————-
IP sec 的组成–IPsec协议集包括三个协议:
1、internet key exchange(IKE)密匙交换协议
协议双方使用的算法,密匙,协商在两个对等体之间建立一条遂道的参数,协商完成再用下面的方法封装数据。
IKE动态的,周期性的在两个PEER之间更新密钥
2、encapsulating secutity payload(ESP)封装安全负载
可以对数据包认证,加密,封装,IP中协议号–50,通常使用3DES来进行加密
3、authentication header (AH)
只提供认证,封装,不提供加密,明文传送,IP中协议号–51
IPsecVPN的两种模式–
一、传输模式:
不产生新的IP头,在原包头之后插入一个字段,当通信点等于加密点用这种方法
原始IP头 | (ESP或AH) | Data
二、通道模式:
产生一个新IP包头,当通信点不等于加密点用这种方法,site-to-site的VPN就是这种模式,因为通信点的IP头通常不是一个公网上可路由的头部,而新的IP头用的是两个peer之间的IP地址。
新IP头 | (ESP或AH) | 原始IP头 | Data
通信点:实际通信的设备
加密点:进行加密的设备
ESP封装中只对原始IP分组进行完整性检验
AH封装中进行完整性检验还包括新的IP头
——————————————————————————————–
IKE密匙交换协议
IKE的作用:用于在两个peer之间协商建立IPsec-VPN通道
1、协商参数
2、产生KEY,交换KEY、更新KEY
3、对双方进行认证
4、对密钥进行管理
也是由三个不同的协议组成:
1、ISAKMP–定义了信息交换的体系结构,也就是格式
2、SKEME–实现公钥加密认证的机制
3、Oakley–提供在两个IPsec对等体间达成相同加密密钥的基于模式的机制
ISAKMP基于UDP,源目端口都是500
site-to-site ipsec VPN的协商过程,分两个阶段
要想在两个站点之间安全的传输IP数据流,它们之间必须要先进行协商,协商它们之间所采用的加密算法,封装技术以及密钥。这个协商过程是通过IKE来完成的,IKE协商分两个阶段运行:
阶段一:在两个对等体设备之间建立一个安全的管理连接。没有实际的数据通过这个连接。这个管理连接是用来保护第二阶段协商过程的。
阶段二:当对等体之间有了安全的管理连接之后,它们就可以接着协商用于构建安全数据连接的安全参数,这个协商过程是安全的,加了密的。协商完成后,将在两个站点间形成安全的数据连接。用户就可以利用这些安全的数据连接来传输自已的数据了。
第一阶段:建立ISAKMP SA 协商的是以下信息:
1、对等体之间采用何种方式做认证,是预共享密钥还是数字证书。
2、双方使用哪种加密算法
3、双方使用哪种HMAC方式,是MD5还是SHA
4、双方使用哪种Diffie-Hellman密钥组
5、使用哪种协商模式(主模式或主动模式)
6、还要协商SA的生存期
第二阶段:建立IPsec SA 协商的是以下信息:
1、双方使用哪种封装技术,AH还是ESP
2、双方使用哪种加密算法
3、双方使用哪种HMAC方式,是MD5还是SHA
4、使用哪种传输模式,是隧道模式还是传输模式
5、还要协商SA的生存期
第一阶段的协商过程总共有6条消息:
1、消息1和消息2用于peer之间协商加密机制
ISAKMP包含有ISAKMP头、SA负载、提议负载、转换负载等字段
总之是让双方协商好我们之间使用啥子协议、加密方法
具体是要协定四个东东:加密机制、散列机制、DH组、认证机制
2、消息3和消息4用于相互之间交换公共密匙
两端的peer先各自生成自已的私匙和公匙,同时还产生一个临时值。然后再使用消息3或消息4将各自的公匙和临时值进行交换。
交换完公匙后,每个peer先根据对方的公匙和自已的私匙生成一个共享秘密(使用DH算法),再根据共享秘密、对方和自已的临时值、预共享密钥产生出三个SKEY:
SKEYID_d–此密匙被用于计算后续IPsec密匙资源
SKEYID_a–此密匙被用于提供后续IKE消息的数据完整性以及认证
SKEYID_e–此密匙被用于对后续IKE消息进行加密
消息3和4的ISAKMP包含以下字段:ISAKMP包头、密匙交换负载(KE)、临时值负载
3、消息5和消息6用于两个peer之间进行认证,这两个消息是用SKEYID_e进行过加密的。
每个peer根据一大堆东东(包括SKEYID-a、预共享密钥、标识ID)生成一个Hash值,再将这个值和自已的标识ID(通常是IP或主机名)发送给对方。当然,使用的就是消息5或消息6。
每个peer收到对方的ID和Hash值后,先根据对方的ID找到对方的公匙,再计算本地Hash值,如果本地Hash值和对方的Hash值一样,就表示认证成功。
这一步完成后,IKE SA被建立,主模式认证完成
第二阶段的协商过程总共有3条消息:
1、第一、二条信息是两个peer之间协商形成IPsec SA的封装协议、模式、加密算法,还要互发用DH重新生成的新的公匙和临时值,以及其它一些参数,像SPI、ID等等。
2、第三条消息通常由发起者发送给响应者,起一个确认的作用,也用来验证通信信道的有效性
第三条信息发送前,两端的peer必须先用和DH相关的信息(新的私钥和对方公钥)生成一个新的DH秘密,然后用该值和SKEYID_d以及其他一些参数一起来生成最终加解密的KEY。
——————————————————————————————–
SA–安全关联
SA是两个通信实体经协商建立起来的一种协定,它们决定了用来保护数据包安全的IPsec协议、转码方式、密钥、以及密钥的有效存在时间等等。任何IPsec实施方案始终会构建一个SA数据库(SA DB),由它来维护IPsec协议用来保障数据包安全的SA记录。
SA是单向的–如果两个主机(比如A和B)正在通过ESP进行安全通信,那么主机A就需要 有一个SA,即SA(OUT),用来处理外发的数据包,另外还需要有一个不同的SA,即SA(IN)用来处理进入的数据包。主机A的SA(OUT)和主机 B的SA(IN)将共享相同的加密参数(比如密钥)。
SA还要根据协议来区分,如果两个主机间同时使用ESP和AH,对于ESP和AH会生成不同的SA。
SADB–安全关联数据库,包含双方协商的IKE和IPsec安全信息
SPI–安全参数索引,是一个32位的值,用来标识用于处理数据包的特定的那个安全联盟。或者这样理解,用于唯一定义一条单向的IPsec通道。这个号码存在于ESP包头中,通道两端必须一致。
SA分为两种–
1、IKE(ISAKMP)SA 协商对IKE数据流进行加密以及对对等体进行验证的算法
2、IPsec SA 协商对对等体之间的IP数据流进行加密的算法
对等体之间的IKE SA只能有一个
对等体之间的IPsec SA可以有多个
PFS–完善转发安全性,是一种IKE协商中发起者可以向响应者提供建议的属性,是一种强制对等体双方在快速模式交换中产生新的DH秘密的属性。这允许使用新的DH秘密生成用于加密数据的加密密钥。
——————————————————————————————–
配置实例:
步骤:
1、configure crypto ACL 配置感兴趣流,需要加密的流量就是感兴趣流。
2、establish ISAKMP policy 第一阶段的策略
3、configure IPsec transform set 第二阶段的策略
4、configure crypto map
5、apply crypto map to the interface 在接口下应用
6、configure interface ACL 确定在外网接口放行哪些流量
一、定义感兴趣流:
ip access-list extended VPN
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
二、IKE第一阶段
crypto isakmp policy 10
encryption des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 202.100.1.2 pre-share key 的定义
三、IKE第二阶段
crypto ipsec transform-set MYSET esp-des esp-md5-hmac
mode tunnel
四、把感兴趣流与转换集映射一下
crypto map MYMAP 100 ipsec-isakmp
set peer 202.100.1.2 设置VPN对等体的地址
set tranform-set MYSET 设置转换集
match address VPN 感兴趣流和转换集的绑定
五、MAP与接口绑定
int s0
crypto map MYMAP
六、设定接口只允许跑VPN流量,在接口入设置
access-list 100 permit udp any eq 500 any eq isakmp
access-list 100 permit esp any any
access-list 100 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255 由于ACL会二次查找,所以还要放行私网的流量
show crypto isakmp policy
show crypto isakmp sa 第一阶段的SA
show crypto ipsec sa 第二阶段的SA
show crypto engine connections active
show crypto map
crypto ipsec security-association lifetime [seconds|kilobytes] 第二阶段的一个协商时间,也就是说多长时间后重新协商密匙。也可按已发了多少流量来进行协商。哪个数值先到就先起效。
cryto isakmp keepalive 10 3
IPsec通道的终结:
当流量超过上限后或者超时自动终结
clear crypto isakmp 清第一阶段
clear crypto sa 清第二阶段
clear crypto session 在新版的IOS中,用这条命令全清
debug crypto isakmp
debug crypto ipsec
配置IPsec-VPN的注意点:
1、路由
2、感兴趣流量
3、策略
4、调用
接口设定ACL:
设定接口只允许跑VPN流量,在接口入设置
access-list 100 permit udp any eq 500 any eq isakmp
access-list 100 permit esp any any
或access-list 100 permit ahp any any
注意:在老IOS中,对包解密后还会再匹配一次访问列表,新的IOS中就不会,所以在老的IOS中要加入一条
access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
IPsec中的路由问题:
R1 需要有4.4.4.0的路由
R2 需要有4.4.4.0 1.1.1.0 30.0.0.0的路由
R3 需要有1.1.1.0 4.4.4.0 20.0.0.0的路由
R4 需要有1.1.1.0的路由
技术点详解—IPSec VPN基本原理
2010/07/25IPSec vpn是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。
IPSec VPN应用场景
IPSec VPN的应用场景分为3种:
1. Site-to-Site(站点到站点或者网关到网关):如弯曲评论的3个机构分布在互联网的3个不同的地方,各使用一个商务领航网关相互建立VPN隧道,企业内网(若干PC)之间的数据通过这些网关建立的IPSec隧道实现安全互联。
2. End-to-End(端到端或者PC到PC): 两个PC之间的通信由两个PC之间的IPSec会话保护,而不是网关。
3. End-to-Site(端到站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSec进行保护。
VPN只是IPSec的一种应用方式,IPSec其实是IP Security的简称,它的目的是为IP提供高安全性特性,VPN则是在实现这种安全特性的方式下产生的解决方案。IPSec是一个框架性架构,具体由两类协议组成:
1. AH协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。
2. ESP协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。
为何AH使用较少呢?因为AH无法提供数据加密,所有数据在传输时以明文传输,而ESP提供数据加密;其次AH因为提供数据来源确认(源IP地址一旦改变,AH校验失败),所以无法穿越NAT。当然,IPSec在极端的情况下可以同时使用AH和ESP实现最完整的安全特性,但是此种方案极其少见。
IPSec封装模式
介绍完IPSec VPN的场景和IPSec协议组成,再来看一下IPSec提供的两种封装模式(传输Transport模式和隧道Tunnel模式)
上图是传输模式的封装结构,再来对比一下隧道模式:
可以发现传输模式和隧道模式的区别:
1. 传输模式在AH、ESP处理前后IP头部保持不变,主要用于End-to-End的应用场景。
2. 隧道模式则在AH、ESP处理之后再封装了一个外网IP头,主要用于Site-to-Site的应用场景。
从上图我们还可以验证上一节所介绍AH和ESP的差别。下图是对传输模式、隧道模式适用于何种场景的说明。
从这张图的对比可以看出:
1. 隧道模式可以适用于任何场景
2. 传输模式只能适合PC到PC的场景
隧道模式虽然可以适用于任何场景,但是隧道模式需要多一层IP头(通常为20字节长度)开销,所以在PC到PC的场景,建议还是使用传输模式。
为了使大家有个更直观的了解,我们看看下图,分析一下为何在Site-to-Site场景中只能使用隧道模式:
如上图所示,如果发起方内网PC发往响应方内网PC的流量满足网关的兴趣流匹配条件,发起方使用传输模式进行封装:
1. IPSec会话建立在发起方、响应方两个网关之间。
2. 由于使用传输模式,所以IP头部并不会有任何变化,IP源地址是192.168.1.2,目的地址是10.1.1.2。
3. 这个数据包发到互联网后,其命运注定是杯具的,为什么这么讲,就因为其目的地址是10.1.1.2吗?这并不是根源,根源在于互联网并不会维护企业网络的路由,所以丢弃的可能性很大。
4. 即使数据包没有在互联网中丢弃,并且幸运地抵达了响应方网关,那么我们指望响应方网关进行解密工作吗?凭什么,的确没什么好的凭据,数据包的目的地址是内网PC的10.1.1.2,所以直接转发了事。
5. 最杯具的是响应方内网PC收到数据包了,因为没有参与IPSec会话的协商会议,没有对应的SA,这个数据包无法解密,而被丢弃。
我们利用这个反证法,巧妙地解释了在Site-to-Site情况下不能使用传输模式的原因。并且提出了使用传输模式的充要条件:兴趣流必须完全在发起方、响应方IP地址范围内的流量。比如在图中,发起方IP地址为6.24.1.2,响应方IP地址为2.17.1.2,那么兴趣流可以是源6.24.1.2/32、目的是2.17.1.2/32,协议可以是任意的,倘若数据包的源、目的IP地址稍有不同,对不起,请使用隧道模式。
IPSec协商
IPSec除了一些协议原理外,我们更关注的是协议中涉及到方案制定的内容:
1. 兴趣流:IPSec是需要消耗资源的保护措施,并非所有流量都需要IPSec进行处理,而需要IPSec进行保护的流量就称为兴趣流,最后协商出来的兴趣流是由发起方和响应方所指定兴趣流的交集,如发起方指定兴趣流为192.168.1.0/24à10.0.0.0/8,而响应方的兴趣流为10.0.0.0/8à192.168.0.0/16,那么其交集是192.168.1.0/24ßà10.0.0.0/8,这就是最后会被IPSec所保护的兴趣流。
2. 发起方:Initiator,IPSec会话协商的触发方,IPSec会话通常是由指定兴趣流触发协商,触发的过程通常是将数据包中的源、目的地址、协议以及源、目的端口号与提前指定的IPSec兴趣流匹配模板如ACL进行匹配,如果匹配成功则属于指定兴趣流。指定兴趣流只是用于触发协商,至于是否会被IPSec保护要看是否匹配协商兴趣流,但是在通常实施方案过程中,通常会设计成发起方指定兴趣流属于协商兴趣流。
3. 响应方:Responder,IPSec会话协商的接收方,响应方是被动协商,响应方可以指定兴趣流,也可以不指定(完全由发起方指定)。
4. 发起方和响应方协商的内容主要包括:双方身份的确认和密钥种子刷新周期、AH/ESP的组合方式及各自使用的算法,还包括兴趣流、封装模式等。
5. SA:发起方、响应方协商的结果就是曝光率很高的SA,SA通常是包括密钥及密钥生存期、算法、封装模式、发起方、响应方地址、兴趣流等内容。
我们以最常见的IPSec隧道模式为例,解释一下IPSec的协商过程:
上图描述了由兴趣流触发的IPSec协商流程,原生IPSec并无身份确认等协商过程,在方案上存在诸多缺陷,如无法支持发起方地址动态变化情况下的身份确认、密钥动态更新等。伴随IPSec出现的IKE(Internet Key Exchange)协议专门用来弥补这些不足:
1. 发起方定义的兴趣流是源192.168.1.0/24目的10.0.0.0/8,所以在接口发送发起方内网PC发给响应方内网PC的数据包,能够得以匹配。
2. 满足兴趣流条件,在转发接口上检查SA不存在、过期或不可用,都会进行协商,否则使用当前SA对数据包进行处理。
3. 协商的过程通常分为两个阶段,第一阶段是为第二阶段服务,第二阶段是真正的为兴趣流服务的SA,两个阶段协商的侧重有所不同,第一阶段主要确认双方身份的正确性,第二阶段则是为兴趣流创建一个指定的安全套件,其最显著的结果就是第二阶段中的兴趣流在会话中是密文。
IPSec中安全性还体现在第二阶段SA永远是单向的:
从上图可以发现,在协商第二阶段SA时,SA是分方向性的,发起方到响应方所用SA和响应放到发起方SA是单独协商的,这样做的好处在于即使某个方向的SA被破解并不会波及到另一个方向的SA。这种设计类似于双向车道设计。
IPSec虽然只是5个字母的排列组合,但其所涉及的协议功能众多、方案又极其灵活,本期主要介绍IPSec的基本原理,在后续专栏还会继续介绍IPSec的其它方面知识。。
好久没有更新了
2010/05/05最近事情很多,并且刚刚换了工作,都没来更新文章;
新工作要开始要适应一下,要看的文档和资料非常多;
工作中如果有心得,再过来写下来吧
嘿嘿
ARP/代理ARP的总结
2010/03/26ARP/代理ARP的总结
得益于破烂熊的纠结,他很富有同情心的让我陪他一起纠结了,呵呵。我们讨论了两天,期间我查了google,查了wikipedia,查了百度,查了思科官方document,还把RFC1027及ARP相关都啃了。并且每想到一种情况也都用真实设备验证过。最后把一些心得和研究得来的结论总结一下,也请大家一起来讨论讨论。
1.ARP
首先讲到ARP,ARP是地址解析协议,它的作用是在以太网环境下,通过3层的IP地址来找寻2层的MAC地址,得到一张ARP缓存表。转发数据的时候根据ARP缓存表来进行传输。下图详细说明数据传输时ARP是如何一步步操作的。
在配置IP地址后,不做任何ping操作,ARP缓存表是这样的:
当PC去ping R1的时候,你会发现第一个丢包了。像这样
R1#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
.!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/25/56 ms
第一个包其实是做ARP请求去了。PC发现ping的是本网段,会发出ARP广播,向R1请求192.168.1.2的MAC地址。得到回应后ARP表会添加ARP请求得来的相应内容。
PC:这个时候PC再去ping 10.1.1.3会发现ping的不是本网段,由于PC没有路由功能所以不知道该往哪里发送,会按照之前已经配好的默认网关发送出去,一般默认网关会配置成路由器的接口IP,在这里是192.168.1.2。查看ARP缓存表发现了192.168.1.2对应的MAC地址,就把包交给路由器处理了。
R1:路由器收到去往10.1.1.0网段的数据包会查询路由表,首先查看路由表发现数据该发往FastEthernet 0/1
#show ip route
C 10.1.1.0 is directly connected, FastEthernet0/1
然后查看ARP表是否有下一跳10.1.1.3的MAC地址信息,如果有则按MAC把数据发到下一跳;如果没有则发出ARP查询,查询后获得下一跳地址10.1.1.3的MAC地址,存到ARP缓存表中,然后转发。
数据包发送到R2(已做好静态路由)。同理数据包返回,成功ping通。
2.代理ARP
“什么是代理ARP?代理ARP就是通过使用一个主机(通常为router),来作为指定的设备对另一设备的ARP请求作出应答。”这个可以说是一个官方解释了。大家可以用同一个拓扑来验证一下,在这里我们最常使用Router关闭路由功能来模拟成PC完成这个实验(左方PC为路由器模拟,在做此实验前请把前一实验的ARP信息清除,建议重启):
PC上不配置默认网关,此时用PC去ping 192.168.1.2和10.1.1.3。会得到以下ARP表
由此可见,PC发出ARP请求10.1.1.3的MAC地址,R2以自己的FastEthernet0/0口地址代理R3去回应PC,告诉PC自己的FastEthernet0/0就是10.1.1.3的MAC地址。
结论:有默认网关的的时候PC按默认网关走,没有默认网关的时候路由器通过代理ARP完成通信。
到目前为止一切都看起来那么的合理,那么的顺利。这个实验是一些培训班常做的实验之一。其实,错了!
问题出在哪里?问题就出在我们是用一台路由器去模拟PC。不管是否关闭路由功能,它始终不是PC,它处理数据的方式与PC也不一样。请大家思考一下,如果是一台PC,在没有默认网关的情况下去ping一个非本网段地址,会出现什么情况?
在没有默认网关的情况下ping一个非本网段地址,显示目标网络不可达,然后直接丢包,根本不会发出ARP查询。
PC在什么时候会发出ARP查询呢?ping一个本网段地址的时候(大家可以抓包来验证一下)。其实就是思科文档的这种情况了:
看清楚了,PC-A的IP地址是/16位,PC-D的IP地址是/24位,所以当PC-A去ping PC-D的时候,PC-A认为是ping同一个网段,会发出ARP请求,这个时候ARP请求就到了路由器上了。路由器如果开启了代理ARP功能,会代替PC-D给PC-A回应,告诉PC-A路由器的e0口MAC地址00-00-0c-94-36-ab就是PC-D的MAC地址,完成代理ARP操作,保护了PC-D的MAC地址隐私。
我认同这种说法,是合情合理的。但是不禁有个问题,谁会用这么脑残的方法配置IP地址呢?好吧,就当是有。
以下转自鸟哥的Linux私房菜:
“如果你一開始設計的網路環境就是同一個 C class 的網域,例如 192.168.10.0/24 , 後來因為某些因素必須要將某些主機搬到比較內部的環境中,例如圖一的 PC2 ~ PC4 。 然後又因為某些因素,所以你不能變更 PC2 ~ PC4 的 IP ,也就是說,有點像底下這樣的圖示:”
代理ARP作为这种特殊情况的解决方案是无可厚非的,但是按道理说这种情况万中无一。既然这种情况出现的概率那么低,为什么要把代理ARP设置为默认启动?这不是浪费资源吗?还存在ARP欺骗等安全隐患,完全可以把代理ARP功能设置为默认关闭。个人意见,有朋友知道原因请告知。
3.三层交换机不同网段关闭路由互通问题
破烂熊的问题:
一个三层交换机,f0/1设置成指定为pc同网段的网关的IP,f0/2指定为另一个网段的ip,关闭交换机的路由功能.pc可以ping通f0/2吗?
破烂熊的答案:
我用dy做实验是可以通的,
pc的目的和自己是不同网段的,pc通过arp学习到网关的mac后,发ping请求给网关,这个ping请求包是一个三层包,这个数据包的格式是 目标mac(网关的),源mac(pc的), 源IP(pc的),目标ip(f0/2的IP) 网关收到此包后检测数据帧的头部,发现是给自己的,于是解封装,除去帧头部,然后查看ip头部,网关发现目标IP和自己不是处于同一网段,由于三层已经没有了路由功能,所以没有去查找路由表,正常情况下是先查找路由表的.在有过第一次的转发数据记录后才会去查看arp表而不是路由表,要不然一收到和自己不网段的包就去找路由表,那arp表有啥用?于是通过查找找到了此IP已经被解析的mac,因为是交换机自身的接口配的IP的地址,当然是存在在路由器arp中的.也就是说这个目标的ip是不需要学习就可以找到的.查找到后就对帧进行重新封装.然后返回给pc,
纯个人见解,有不同看法的请指证……
个人认为非常正确,说的很透彻。但是有一点保留意见,“在有过第一次的转发数据记录后才会去查看arp表而不是路由表,要不然一收到和自己不网段的包就去找路由表,那arp表有啥用?”
这点我已经修正过来了。
还想补充一点的是,三层交换机只有一个MAC地址。所以以上问题的情况在三层交换机中的ARP缓存表会这样显示:
F0/1和F0/2对应的MAC地址是相同的。
最后留个问题:同样关闭路由功能的情况下,我在三层交换机上用F0/1去ping F0/2口能否通?
